2024年4月20日发(作者:)

机器狗病毒(2008年,木马)

社会背景,经济损失: 因为其他病毒在装有软硬件还原卡计算机中只要重新启动计算

机那么系统中的文件就会还原,所以就算计算机中了病毒在没有重启的情况下是可以驻留

在系统,但是只要重启计算机,计算机中安装的还原卡就会是整个系统恢复到初始状态,

病毒就会被清除,所以病毒就不会常驻计算机系统内。这就促使了一些机器狗的诞生,特

别是针对网吧中计算机中的装有还原卡的机器,机器狗的制造者就想办法制造一种能够穿

透还原卡、冰点的病毒。机器狗病毒通过采用hook系统的磁盘设备栈来达到穿透的目的,

从而常驻内存,即使计算机重启也无法达到清除!这样的想法就导致了机器狗的产生!也

有可能是因为行业内的市场竞争导致,机器狗病毒因其发作时间之长、影响范围之大成为

“毒”王。“机器狗”累计造成了至少80亿元人民币的经济损失,危害远远超过著名的“熊

猫烧香”。杭州顺网信息技术有限公司宣布悬赏50万元捉拿该病毒元凶。危害远远超过曾

轰动一时的“熊猫烧香”。

现象:机器狗病毒是一种木马下载器, 此病毒也是一个典型的网络架构木马型病毒,

感染后会自动 从网络上下载木马、病毒,危及用户帐号的安全,机器狗本身运行的时候也

会产生一个名为 的驱动文件,采用了 hook 系统的磁盘设备栈来达到穿透

目的的与原系统中还 原软件驱动进行硬盘控制权的争夺,并且通过替换 文

件来实现开机就启动机器 狗,可以说穿透目前技术下的任何一种软硬件的还原,危害性极

大!

原理:机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户

帐号的安全。机器狗运行后会释放一个名为的驱动文件,与原系统中还原软

件驱动进行硬盘控制权的争夺,并通过替换文件,实现开机启动。

传播途径:机器狗病毒的传播途径可以通过U盘、移动硬盘、网页的挂载、网站的钓

传播机制:机器狗”病毒的传播主要是利用系统或应用软件的漏洞进行的。

破坏机制:机器狗通过的驱动文件,来争夺硬盘的控制权,使软硬件还原

卡无用武之地,而常驻系统,同时运作时候从网站下载一些病毒。

清除方法(自动 / 手动):

一、1、注册表,组策略中禁止运行 进程 2 在启动项目中加入批处理 A :

强制结束 进程 Taskkill /f /IM (其 中“/IM”参数后面为进程

的图像名, 这命令只对 XP 用户有效) : 强制删除 文件 B DEL /F /A

/Q %SystemRoot% : 创 建 免 疫 文 件

md

md

+a

%SystemRoot%system32

%SystemRoot%

%SystemRoot%

%SystemRoot%

>nul

attrib

D :

2>nul

+s

+r

reg

+h

add

"HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution

" /v debugger /t reg_sz /d /f 是正

常文件改了名字,多加了一个 1,你也可以自己修改,不过要手动修改这 4 个注册表,

并导出,这个批处理才能正常使用。 二、1、首先在系统 system32 下复制个无毒的

,文件名为 (文件名可以任意取),这就是下面批处理要指向执

行的文件!也就是开机启动 的替代 品!而原来的 保留!其实

多复制份的目的只是为了多重保险!可能对防止以后 变种起到一定的作用。 2、创建个文